如图是数据中心的一个基本架构
最上层是Internet Edge,也叫Edge Router,也叫Border Router,它提供数据中心与Internet的连接。
为了HA的需要,往往会有两个Border Router
两个边界路由器提供对互联网的连接。
一对防火墙对内部网络和DMZ区域进行防护。
DMS区域往往存放可以对外提供服务的服务器。
内部网络是不可以被外网直接访问的。
内网是可以访问外网的。
在Border Router上往往设置ACL对访问进行控制
第二层core network,包含很多的core switches
Available Zone同Edge router之间通信
Available Zone之间的通信提供
提供高可用性连接HA
提供Intrusion Prevention Services
提供Distributed Denial of Service Attack Analysis and Mitigation
提供Tier 1 Load Balancer
为了HA,一般会创建两个core network,两个core network通过vlan相互隔离,互不干扰,每个core network都能够连接到两个border router和所有的Available Zone。
core network里面的switch都是强大的switch,为了提供高可用性,然而又不需要STP,则多个switch之间Link Aggregation
如果想进一步扩大带宽,还可以两个switch cluster之间通过LACP进行link aggregation,这种方式称为Multi-Chassis Link Aggregation
下图就是L2 core network的架构,其中红色和绿色表示不同的vlan
接下来是一个个Available Zone,或者称为Data Center LAN
第三层也即每个AZ的最上层,我们称为Aggregation layer.
Aggregation Layer是一个AZ的对外入口,上接L2 Core Network。
Border Router和Aggregation Router是通过L2 Core Network连接在一起的,是一个大二层连接。
这两层router之间需要通过路由协议,使得Aggregation router可以得知border router的路由,从而AZ里面的机器可以访问外网,也使得border router可以得知Aggregation router的路由,从而外网可以访问AZ内部的public IP
第四层是access layer
就是一个个机架的服务器,用TOR连接在一起
Top of Rack (TOR) vs. End of Row (EOR)
第五层称为storage layer
很多数据中心会为存储系统部署单独的网络
通过iSCSI或者Fibre Channel连接SAN,将block storage attached到机器上。